EP2788913B1

EP2788913B1 - System zur verwaltung einer datenzentrumsinfrastruktur mit sicherheit für vorrichtungen mit verwalteter infrastruktur

Info

Publication number: EP2788913B1
Application number: EP12856500.9A
Authority: EP
Inventors: Bharat A. Khuti; Steven Geffin; James Robinson; Mario Costa
Original assignee: Vertiv IT Systems Inc
Current assignee: Vertiv IT Systems Inc
Priority date: 2011-12-06
Filing date: 2012-11-20
Publication date: 2019-10-23
Anticipated expiration: 2032-11-20
Also published as: WO2013085717A1; CN103975331B; US20140366139A1; US9661016B2; CN103975331A; EP2788913A4; EP2788913A1

Claims

System (10) zum Verbessern einer Erfassung mindestens eines von Malware oder Viren, die versuchen, eine verwaltete Infrastrukturvorrichtung einer Vielzahl von verwalteten Infrastrukturvorrichtungen (20-24), die innerhalb eines Datenzentrums arbeiten, zu infizieren, das System enthaltend:
ein Datenzentrumsinfrastrukturverwaltungs- "DCIM" (Data Center Infrastructure Management) -system (12) zum Überwachen von Betrieb einer Vielzahl verwalteter Infrastrukturvorrichtungen, das DCIM-System enthaltend:
ein Fernzugriffsgerät (14) zum Kommunizieren mit den verwalteten Infrastrukturvorrichtungen, wobei jede verwaltete Infrastrukturvorrichtung einen On-Board-Computer enthält; und

das Fernzugriffsgerät, das eine Engine enthält, die konfiguriert ist, zu erfassen, ob Informationen, die an den On-Board-Computer einer der verwalteten Infrastrukturvorrichtungen zu kommunizieren sind, eine Sicherheitsbedrohung für die verwaltete Infrastrukturvorrichtung darstellt,

wobei die Engine eine komplexe Ereignisprozessor "CEP" (Complex Event Processor) Engine (26) enthält, wobei die CEP Engine aufweist:
eine Vielzahl vorbestimmter Regeln (26b), die der CEP Engine ermöglichen, Informationen zu evaluieren, die von den verwalteten Infrastrukturvorrichtungen empfangen werden, um zu erfassen, ob eine abnormale Betriebsbedingung eine gegebene der verwalteten Infrastrukturvorrichtungen beeinträchtigt hat; und

Strukturerkennungssoftware (26c), die erfasst, wenn mindestens eine Zentralverarbeitungseinheit-"CPU" (Central Processing Unit) -nutzung oder Stromverbrauch einer der verwalteten Infrastrukturvorrichtungen sich über eine akzeptable vorbestimmte Grenze hinaus verändert hat, wodurch potenziell angezeigt wird, dass ein Virus oder eine Malware den On-Board-Computer der verwalteten Infrastrukturvorrichtung beeinträchtigt hat.
System nach Anspruch 1, wobei die CEP Engine konfiguriert ist, zur Protokollsammlung und Korrelation vorgespeicherter Strukturen oder Sequenzen (26a) verwendet zu werden, die der CEP Engine ermöglichen, zu erfassen, ob die Informationen, die an die verwaltete Infrastrukturvorrichtung (20-24) gesendet werden sollen, mit einer Sicherheitsbedrohung infiziert sind.
System nach Anspruch 1, wobei die Engine eine Entdeckungs-Engine (28) aufweist, die mindestens eines von kundenspezifischen Definitionen oder Algorithmen enthält, die ihr ermöglichen, nach Sicherheitsbedrohungen abzutasten und eine Sicherheitsschwäche in der verwalteten Infrastrukturvorrichtung (20-24) zu identifizieren.
System nach Anspruch 1, wobei die Engine eine Sicherheitserfassungs-Engine (30) umfasst, die konfiguriert ist, nach mindestens einem von Malware, oder infizierten Dateien, oder infizierten Ordnern, oder infizierten Prozessen, die einem Betrieb der verwalteten Infrastrukturvorrichtung (20-24) zugehörig sind, abzutasten und diese zu erfassen.
System nach Anspruch 1, wobei die Engine eine Sicherheitserfassungs-Engine (30) aufweist, die für mindestens eines konfiguriert ist von:
Verhindern eines Herunterladens potenziell unsicherer Dateien von bekannten Malware-URLs;

Identifizieren und Schützen proprietärer Dateien eines gegebenen Kunden; und

Bereitstellen einer Benachrichtigung, dass eine proprietäre Datei eines Kunden verschoben oder kopiert wurde.
System nach Anspruch 1, wobei das Fernzugriffsgerät (14) in Kommunikation mit einer Sicherheitsverwaltungskonsole (34) steht, die konfiguriert ist, über mindestens eine einer Lokalnetzwerkverbindung oder einer Großraumnetzwerkverbindung zugegriffen zu werden, und wobei die Sicherheitsverwaltungskonsole einer Person ermöglicht, mindestens einen der folgenden Betriebe durchzuführen:
Richtlinien für Betrieb der verwalteten Infrastrukturvorrichtung (20-24) einzustellen;

Sicherheitsereignisse zu überwachen und bewerten, die die verwaltete Infrastrukturvorrichtung beeinträchtigen;

eine Abtastung der verwalteten Infrastrukturvorrichtung zu initialisieren oder planen, um nach Sicherheitsbedrohungen zu sehen;

Richtlinien für Alarmauslöser und Benachrichtigungen bezüglich der verwalteten Infrastrukturvorrichtung einzustellen; und

einen Einsatz der Engine zu konfigurieren und zu verwalten.
System nach Anspruch 1, ferner aufweisend einen Sicherheitsinformations- und Ereignisverwaltungs-"SIEM" (Security Information and Event Management) (32) -Server in Kommunikation mit dem DCIM-System durch mindestens eine von einer Lokalnetzwerkverbindung oder einer Großraumnetzwerkverbindung, wobei der SIEM-Server konfiguriert ist, Daten in ein Zentralarchiv zur Trendanalyse zu sammeln.
System nach Anspruch 7, wobei der SIEM-Server eine Softwarekomponente enthält, die konfiguriert ist, Informationen über sicherheitsbezogene Ereignisse zu sammeln und mindestens eines von Berichten, Diagrammen und Graphen gesammelter Informationen betreffend die sicherheitsbezogenen Ereignisse anzuzeigen.
Verfahren zum Verbessern einer Erfassung einer Sicherheitsbedrohung für eine verwaltete Infrastrukturvorrichtung (20-24) einer Vielzahl verwalteter Infrastrukturvorrichtungen, die innerhalb eines Datenzentrums arbeiten, das Verfahren enthaltend:
Überwachen, durch ein Datenzentruminfrastrukturverwaltungs- "DCIM"-system (12), Betrieb der Vielzahl verwalteter Infrastrukturvorrichtungen im Datenzentrum;

Kommunizieren, durch ein Fernzugriffgerät (14), das einen Teil des DCIM-Systems bildet, mit einem On-Board-Computer jeder der verwalteten Infrastrukturvorrichtungen; und

Erfassen, durch eine Engine, die innerhalb des Fernzugriffgeräts angeordnet ist, ob Informationen, die an den On-Board-Computer einer der verwalteten Infrastrukturvorrichtungen kommuniziert werden, eine Sicherheitsbedrohung für die verwaltete Infrastrukturvorrichtung darstellen,

Verwenden, von einer komplexer Ereignisprozessor "CEP" Engine (26), die in der Engine enthalten ist, die innerhalb des Fernzugriffgeräts angeordnet ist, einer Vielzahl vorbestimmter Regeln (26b), die der CEP Engine ermöglichen, Informationen zu evaluieren, die von einer der verwalteten Infrastrukturvorrichtungen empfangen werden, um zu erfassen, ob eine abnormale Betriebsbedingung bezüglich einer Hardwarekomponente einer gegebenen der verwalteten Infrastrukturvorrichtungen die verwaltete Infrastrukturvorrichtung beeinträchtigt; und

Erfassen, durch Strukturerkennungssoftware (26c), die in der CEP Engine enthalten ist, wann mindestens eines von Zentralverarbeitungseinheit-"CPU" -nutzung oder Stromverbrauch einer der verwalteten Infrastrukturvorrichtungen sich über eine akzeptable vorbestimmte Grenze hinaus verändert hat, wodurch potenziell angezeigt wird, dass ein Virus oder Malware den On-Board-Computer der verwalteten Infrastrukturvorrichtung beeinträchtigt hat.
Verfahren nach Anspruch 9, wobei die CEP Engine Protokollsammlung und Korrelation mindestens einer von vorgespeicherten Strukturen oder vorgespeicherten Sequenzen (26a) durchführt, um zu erfassen, ob die Informationen die an die verwaltete Infrastrukturvorrichtung (20-24) gesendet werden sollen, mit einer Sicherheitsbedrohung infiziert sind.
Verfahren nach Anspruch 9, wobei die Engine zu verwenden ferner aufweist, mindestens eines zu verwenden von:
einer Entdeckungs-Engine (28) mit mindestens einem von kundenspezifischen Definitionen oder Algorithmen, um nach Sicherheitsbedrohungen abzutasten und eine Sicherheitsschwäche in der verwalteten Infrastrukturvorrichtung (20-24) zu identifizieren; und

eine Sicherheitserfassungs-Engine (30), um nach mindestens einem von Malware, oder infizierten Dateien, oder infizierten Ordnern, oder infizierten Prozessen, die Betrieb der verwalteten Infrastrukturvorrichtung zugehörig sind, abzutasten und diese zu erfassen.
Fernzugriffgerät (14), konfiguriert zur Verwendung in einem Datenzentrum, um einen Betrieb verwalteter Infrastrukturvorrichtungen (20-24) innerhalb des Datenzentrums zu überwachen und zum Verbessern einer Erfassung mindestens eines von Malware oder Viren, die versuchen, eine der verwalteten Infrastrukturvorrichtungen zu infizieren, und wobei das Fernzugriffgerät konfiguriert ist, mit den verwalteten Infrastrukturvorrichtungen zu kommunizieren, und wobei jede der verwalteten Infrastrukturvorrichtungen einen On-Board-Computer hat, das Fernzugriffgerät enthaltend:
eine Engine, die konfiguriert ist, Informationen, die an eine der verwalteten Infrastrukturvorrichtungen gesendet werden sollen, und Informationen, die von einer der verwalteten Infrastrukturvorrichtungen empfangen wurden, zu empfangen,

wobei die Engine konfiguriert ist, die Informationen, die an eine der verwalteten Infrastrukturvorrichtungen gesendet werden sollen, zu analysieren, um zu ermitteln, ob die Informationen eine Sicherheitsbedrohung für den On-Board-Computer der verwalteten Infrastrukturvorrichtung darstellen,

wobei die Engine ferner eine komplexer Ereignisprozessor "CEP" Engine aufweist, wobei die CEP Engine aufweist:
eine Vielzahl vorbestimmter Regeln (26b), die der Engine ermöglichen, Informationen zu evaluieren, die von einer der verwalteten Infrastrukturvorrichtungen empfangen wurden, um zu erfassen, ob eine abnormale Betriebsbedingung eine gegebene der verwalteten Infrastrukturvorrichtungen beeinträchtigt hat; und

Strukturerkennungssoftware (26c), die erfasst, wenn mindestens eines von Zentralverarbeitungseinheit- "CPU" -nutzung oder Stromverbrauch einer der verwalteten Infrastrukturvorrichtungen sich über eine akzeptable vorbestimmte Grenze hinaus verändert hat, wodurch potenziell angezeigt wird, dass ein Virus oder Malware den On-Board-Computer der verwalteten Infrastrukturvorrichtung beeinträchtigt hat.